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@ Procedes et systemes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature 
de messages. 



(g) Procedes et systemes d'authentification d'accreditation 
ou de messages, et de signature de messages. 

Au lieu d'utiliser des accreditations multiples et un processus 
iteratif de verification, on utilise une accreditation profonde 
(exposant p eleve) et on tire au hasard un nombre D comprts 
entre 0 et p-1. Les operations de verification passent par le 
calcul de la puissance D ieme de ('accreditation inverse B. 

Application notamment aux cartes a puce et plus speciale- 
ment aux cartes bancaires. 
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Description 

PROCEDES ET SYSTEM ES D AUTHENTIFICATION D' ACCREDITATIONS OU DE MESSAGES A APPORT NUL DE 

CONNAISSANCE ET DE SIGNATURE DE MESSAGES 



La presente invention a pour objet des precedes 
et des systemes d'authentification d'accreditations 5 
ou de messages a apport nul de connaissance et un 
procede de signature de messages. 

L'invention trouve de nombreuses applications 
dans la verification de Pauthenticite de cartes 
bancaires dites "a puces" ou plus generalement de 10 
Pauthenticite de tout support permettant a son 
detenteur de commander un acces, (a un local, a un 
coffre, a une banque de donnees, a un systeme 
informatise, a une ligne telephonique, etc...)- Elle 
s'appiique egalement a la verification de Pauthenti- 15 
cite de messages de toute nature, ces messages 
pouvant commander une ouverture ou une ferme- 
ture, Penclenchement ou Parret d'un systeme, la 
commande de la mise a feu d'un engin, la commande 
d'un satellite, le declenchement d'une alerte etc... 20 
Enfin, invention permet de signer des messages de 
telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convain- 
cre un tiers sur cette provenance. 

L'invention s'appuye sur deux branches de la 25 
cryptographie qui sont respectivement la cryptogra- 
phie a cle revelee (ou a cle publique) et les 
procedures de verification a apport nul de connais- 
sance. Bien que l'invention ne concerne pas un 
procede de chiffrement, il n'est pas inutile de 30 
rappeler en quo! consistent ces deux techniques. 

De tout temps le maintien du secret des communi- 
cations a ete une preoccupation. Aujourd'hui que les 
systemes de telecommunications proliferent, il est 
devenu un probleme majeur. De ce fait, les techni- 35 
ques de chiffrement et de dechiffrement ont pro- 
gresse considerablement ces dernieres annees. Ce 
progres a d'aiileurs ete encore accelere par I'avene- 
ment des calculateurs, qui ont permis d'elaborer des 
cryptosystemes a hautes performances. 40 

Dans un cryptosysteme, un message M, dit 
message en clair, est transforme a I'aide d'une cle E, 
pour donner un message E(M) dit message chiffre. 
A la cle E correspond une cle inverse D qui permet 
de retrouver le message en clair par une transforma- 45 
tion inverse : D(E(M)) = M. 

Dans les techniques traditionnelles les deux cles 
E et D sont tenues secretes et ne sont connues que 
des seuls interlocuteurs. 

Cependant, un cryptosysteme original a ete 50 
developpe ces dernieres annees, dans lequel la cle 
de chiffrement n'est plus tenue secrete mais est, au 
contraire, revelee. ParadoxaJement, cette revelation 
n'affaiblit en rien la securite du systeme. En effet, i! 
se trouve que le chiffrement utilise une fonction telle 55 
que la connaissance de la cle E ne permet pas, dans 
la pratique, de retrouver ia cle D de dechiffrement. 
On parte alors, de maniere imagee, d'une fonction 
"trappe" pour la fonction de chiffrement, fonction qui 
est particulierement difficile a inverser, sauf pour 60 
celui qui connait la valeur de la trappe. 

Les principes generaux de ces systemes ont ete 
decrits dans Particle de W. DIFFIE et M. HELLMANN 



intitule "New Directions in Cryptography" publie 
dans IEEE, Transactions ou Information Theory, vol. 
IT-22, pp 644-654, Nov. 1976. 

On peut aussl consulter a ce sujet Particle de M. 
HELLMAN intitule "The Mathematics of Public-Key 
Cryptography" publie dans Scientific American 
d'Aout 1979, vol.241, n°2, pp 130-139 ou sa 
traduction francaise dans Pedition de "Pour la 
Science" sous le titre "Les Mathematiques de la 
Cryptographie a clef revelee", Octobre 1979, vol. 
n°24, pp 114-123. 

Les principes theoriques de la cryptographie a 
cle revelee ont pu etre mis en application de maniere 
particulierement efficace dans un systeme dit RSA 
(des initiates de ses inventeurs Ronald RIVEST - Adi 
SHAMIR et Leonard ADLEMAN). Ce systeme est 
decrit dans Particle de Martin GARDNER intitule "A 
new kind of cipher that would take millions of year to 
break" publie dans Scientific American, Aout 1977, 
pp. 120-121 . Dans le systeme RSA la fonction trappe 
est la factorisation d'un nombre en elements 
premiers. On sait que Poperation de factorisation est 
Pune des plus difficiles de Parithmetique. Par 
exemple pour trouver, a la main, les facteurs 
premiers d'un nombre modeste a 5 chiffres comme 
29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais Pobtention du produit de 127 par 
229 ne prend que quelques secondes. L'asymetrie 
d'une telle operation est done flagrante. Naturelle- 
ment, le recours a un ordinateur accelere la 
factorisation mais il demeure que, pour factoriser un 
nombre de deux cents chiffres, meme en mettant 
ensemble les ordinateurs les plus puissants ordina- 
teurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

Ces proprietes sont expioitees dans le systeme 
RSA de la maniere suivante. On choisit deux 
nombres premiers distincts, soit a et b, et on en 
forme le produit, soit N = a.b. On choisit egalement 
un entier p, qui est premier avec le plus petit 
commun multiple de (a-1) et (b-1). Pour chiffrer un 
message, prealablement mis sous forme numerique 
M, M etant compris entre 0 et N-1, on calcule la 
puissance pieme de M dans Panneau des entiers 
modulo N, soit C = M P mod N. (On rappelle que la 
valeur d'un entier x modulo un entier y est egale un 
reste de la division de x par y ; ainsi, 27 modulo 11 
est egal a 5, car 27 divise par 11 donne 5 comme 
reste). La fonction "elever a la puissance p modulo 
N" definit alors une permutation des entiers de 0 a 
N-1. 

Pour dechiffrer un message tel que C il faut 
extraire la racine pieme du message chiffre C dans 
Panneau des entiers modulo N. On montre que cette 
operation revient a elever le nombre C a ia puissance 
d, d etant Pinverse de Pexposant p modulo le plus 
petit commun multiple des nombres (a-1) et (b-1). Si 
I'on ne connait pas les facteurs premiers a et b, la 
determination de d est impossible et avec elle, 
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('operation de dechiffrement. 

Par exemple, en choisissant A =47 et b = 59, on 
obtient N*= 47.59 = 2773. On peut prendre p = 17. La 
cle de codage est done definie par les deux nombres 
2773 et 17 (naturellement, dans la pratique, les 
nombres utilises sont beaucoup plus grands que 
dans cet exemple). 

Le codage d'un mot M se presentant sous forme 
du nombre 920 s'effectue par Poperation suivante : 
c = 920 17 mod 2773 
soit C = 948 mod 2773. 

Inversement, pour dechiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 
qui est le ppcm de 46 et 58. Cet exposant d est 157 
car 157.17 = 2669 soit 1 modulo 1334. Dechiffrer 948 
revient done a calculer 948 157 mod 2773 soit 920, ce 
qui est bien le message initial. 

Ainsi, dans le systeme RSA, les nombres N et p 
peuvent ils etre publics (on parle alors de la 
"puissance publique p"), mais les nombres a et b 
doivent rester secrets. 

Naturellement, il est toujours possible d'utiiiser 
plus de deux facteurs premiers pour constituer le 
nombre N. 

Le systeme RSA est decrit dans le brevet des 
Etats-Unis d'Amerique N°4,405,829 delivre le 20 
Septembre 1983. 

Un tel systeme peut non seulement servir a 
chiffrer mais aussi a signer un message. 

Dans le contexte de la signature de messages une 
entite censee emettre des messages M, entite 
appelee signataire, est reputee travailler avec une 
cle publique (N, p). Cette entite, pour signer ses 
messages avant emission, y ajoute une redondance 
pour obtenir un element de Panneau des entiers 
modulo N, puis eleve cet element a la puissance d 
(inverse de p) modulo N. L'entite en question, 
detenant les parametres secrets de la cle publique, 
e'est-a-dire les deux facteurs premiers a et b, 
connait d. Le message signe est done 
S=[Red(M)] d rr»od N. 

Pour verifier la signature, le destinataire du 
message utilise la cle publique (N, p) attachee a 
l'entite emettrice et calcule S p mod N, ce qui, par 
hypothese redonne Pelement codant le message M 
avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu 
etre envoye que par Pentite qui pretend Pavoir fait, 
puisque seule, celle-ci, etait capable de traiter le 
message de cette maniere. 

Naturellement, les deux operations de chiffrement 
et de signature peuvent se combiner. Dans ce cas, 
I'emetteur commence par signer son message en 
utilisant sa cle secrete ; puis il le chiffre en utilisant la 
cle publique de son correspondant. A la reception, le 
correspondant dechiffre le message a I'aide de sa 
cle secrete, puis authentrfie le message en utilisant 
le cle publique de I'emetteur. 

Ces techniques de cryptographie conduisent ainsi 
a des methodes d'authentification (d'un support, 
d'un message, etc.). Pour exposer plus en detail 
cet aspect, qui est au coeur de Pinvention, on 
prendra comme exemple Pauthentification des 
cartes bancaires dites "a puce", sans que cela 
constitue naturellement en quoi que ce soit une 



limitation de la portee de Pinvention. Le procede. 
decrit ci-apres est utilise dans les cartes bancaires 
a puce emises aujourd'hui en France et en Norvege, 
la generalisation des puces dans les cartes ban- 

5 caires est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, 
qui est constitute par un enchainement d'informa- 
tions telles que le numero de serie de la puce, le 
numero du compte bancaire, une periode de validite 

10 et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se presen- 
ted sous forme d'une suite de bits formant un mot I. 

A Paide de regies de redondance, on peut 
constituer un nombre J deux fois plus long que i 

15 qu'on notera par la suite Red(l) = J. Par exemple, si 
le nombre I s'ecrit sous forme de quartets, chaque 
quartet peut etre complete par un quartet de 
redondance de maniere a former autant d'octets de 
type a codage de HAMMING. Le nombre J est 

20 appele souvent Pidentite "ombragee* (Pombre etant 
constitute en quelque sorte par la redondance qui 
accompagne Pidentite). 

L'Organisation Internationale de Normalisation 
(ISO) a precise ces questions dans la note ISO/ 

25 TC97/SC20/N207 intitulee "Digital Signature with 
Shadow" devenue avant projet de norme DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
Poccurrence la banque, choisit un systeme a cle 
publique (N, p). Elle publie les nombres N et p mais 

30 garde secrete la factorisation de N. L'identite 
ombragee J de chaque carte est alors consideree 
comme un element de Panneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans 
cet anneau (ce qui, comme expose plus haut, 

35 necessite la connaissance des facteurs premiers de 
N, ce qui est le cas). Ce nombre, note par la suite A, 
est en quelle que sorte Pidentite de la carte signee 
par la banque. On Pappelle "accreditation". On a 
done par definition A=J 1/p mod N. 

40 Authentifier une accreditation revient alors a lire 
Pidentite de la carte, soit sous la forme simple I, soit 
sous la forme ombragee J, puis a lire Paccreditation 
A dans la carte, a elever celle-ci a la puissance p 
dans Panneau des entiers modulo N (ce qui est 

45 possible puisque les parametres N et p sont connus) 
et a comparer enfin le resultat, soit A p mod N, a J. Si 
A p mod N est egal a J alors Paccreditation A est 
authentique. 

Si cette methode permet de detecter des fausses 

50 cartes dont les identites auraient ete elaborees de 
maniere fantaisiste, elle presente neanmoins un 
inconvenient qui est celui de reveler Paccreditation 
des cartes authentiques. Un verificateur peu scrupu- 
leux pourrait done reproduce des cartes identiques 

55 a celle qull vient de verifier (cartes que Pon pourrait 
appeler des "clones") en reproduisant Paccredita- 
tion qu'il a lue dans la carte authentique. 

Or, Pauthentification d'une accreditation ne re- 
quiert pas, en toute rigueur, la communication de 

60 ceile-ci au verificateur, mais seulement Petablisse- 
ment d'une conviction que la carte dispose d'une 
accreditation authentique. Le probleme est done 
finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

65 Ce probleme, qui semble insoluble a premiere 
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vue, peut cependant etre resolu par une procedure 
dite de preuve par apport nu! de connaissance 
("zero-knowledge proof*). Dans une telle procedure, 
Pentite qui tente d'apporter la preuve (et que Ton 
appellera par la suite le "verifie") et I'entite qui attend 
cette preuve (et qu'on appellera le "verificateur") 
adoptent un comportement interactif et probabiliste. 

Cette technique a ete decrite par Shafi GOLD- 
WASSER, Silvio MICALI et Charles RACKOFF dans 
ieur communication au '17th ACM Symposium on 
Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexi- 
ty of Interactive Proof Systems" et publiee dans les 
Comptes Rendus pp.291 -304. Les premiers exem- 
ples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce 
procede en theorie des nombres et on pourrait 
Pappliquer aux cartes a puces de la maniere 
suivante. Ce procede, que Ton appellera par la suite 
procede S, est le suivant. 

Au debut de la transaction d'authentifi cation, la 
carte proclame son identite I. Les regies de 
redondance connues de tous, permettent de de- 
duire J, deux fois plus long que i, qui correspond a 
Pidentite ombragee. La carte et le verificateur 
connaissent tous deux les nombres N et p publies 
par Pemetteur de cartes, mais seul ce dernier 
dispose de la factorisation du nombre N, qui est 
reformation de trappe utilisee pour calculer les 
accreditations. 

La transaction d* authentication se poursuit en 
repetant le traitement suivant : 

- la carte tire au hasard un element r de Panneau des 
entiers modulo N, en calcule la puissance p ieme (r p 
mod N) dans Panneau, et transmet cette puissance 
au verificateur en guise de titre T pour Piteration ; 

- le verificateur tire au hasard un bit d (0 ou 1) (ou si 
Ton veut, tire a pile ou face) pour demander a la carte 
en guise de ternoin t : pour pile Pelement r, et pour 
face le produit de Pelement r par Paccredition dans 
Panneau (r.A mod N) ; autrement dit, dans Pincerti- 
tude du tirage le verifie doit tenir disponible r et r.A 
mod N ce qui implique la connaissance de A ; 

- le verificateur eleve le ternoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour 
face le produit dans Panneau du titre T par Pidentite 
ombragee J. 

Ainsi, d'une part, it taut disposer de Paccreditation 
A pour posseder simultanement les deux valeurs 
possibles du ternoin t, soit r et rA. D'autre part, le 
verifie ne peut deduire de cette transaction la valeur 
A de Paccreditation car, meme s'il demande au 
verifie de lui fournir rA, il ne connaTt pas r, qui a ete 
tire au hasard par le verifie (le verificateur connatt 
bien r p , fourni comme titre par le verifie, mais il est 
incapable d'en extraire la racine p ieme modulo N, 
puisqu'il ne connait pas la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 
accreditation authentique pourrait bluffer en tentant 
de deviner le tirage du verificateur. S'il parie sur "0" 
("pile") il estime que le verificateur elevera le titre a la 
puissance p modulo N et que le verificateur 
comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir 
comme titre T le ternoin eleve a la puissance p. Si le 
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bluffeur parie au contraire sur "1" ("face") il estime 
que le verificateur elevera le titre a la puissance p et 
multipliera ensuite le resultat obtenu par J. II lui faut 
done, pour convaincre, transmettre comme titre T, le 
5 ternoin eleve a la puissance p multiplie par J. 

Autrement dit, le verifie a une chance sur deux de 
donner une bonne reponse s'il renverse la chronolo- 
gie des evenements, e'est-a-dire s'il determine non 
pas d'abord le titre T puis le ternoin t, mais s'il parie 

10 sur le tirage du verificateur et s'il constitue le titre a 
posteriori a Paide d'un ternoin tire au hasard. 

Dans ce processus probabiliste, les chances du 
verifie de deviner la bonne reponse sont de une sur 
deux a chaque traitement, de sorte qu'en repetant 

15 ce traitement k fois, les chances du bluffeur tombent 
a 1/2 k . Le facteur de securite de ce procede 
d'authentification est done de 2 k . En pratique, k est 
de Pordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par 

20 exemple 3. On peut aussi utiliser 2, mais dans ce cas 
certaines precautions doivent etre prises dans le 
choix des facteurs premiers du nombre N pour que 
la fonction "elever au carre modulo N" soit une 
permutation sur les residus quadratiques de Pan- 

25 neau des entiers modulo N. Les nombres a et b 
doivent etre des entiers de la forme 4x + 3 ; on 
rappelle que les residus quadratiques sont des 
elements qui sont des carres dans Panneau et 
Pidentite ombragee J doit pouvoir etre modifiee en 

30 un residu quadratique representatif avant de calculer 
Paccreditation. Cette solution est decrite dans le 
document deja cite ISO/TC97/SC20/N207. D'autres 
solutions existent cependant. 

L'entier N, comme dans ies cartes bancaires 

35 aujourd'hui, peut etre de la forme N = K+2 320 ou K 
est un entier de 240 bits publie et connu de tous les 
terminaux. Seul Pemetteur de cartes dispose de la 
factorisation de N. II est tout de meme conseilie de 
prendre des nombres composes plus grand. 

40 L'identrte I, comme dans les cartes bancaires 
aujourd'hui, peut etre un motif de 160 bits, obtenu 
par le chainage d'un numero de serie de la puce de 
44 bits, d'un numero de compte bancaire de 76 bits, 
d'un code d'usage de 8 bits et d'une periode de 

45 validite de 32 bits. L'identite ombragee presente 
alors 320 bits. L'accreditation est alors la racine 
cubique de ce mot, modulo N. C'est un nombre de 
320 bits. 

Un perfectionnement de cette technique consiste 

50 a utiliser non pas ('accreditation elle-meme A 
(A p mod N=J) mais son inverse, note B. On a alors 
B P J mod N=1 ce qui permet de simplifier la 
comparaison du titre et du ternoin. En effet, il suffit 
alors de transmettre un ternoin egal a r(dB-d-M) 

55 (qui est egal soit a r si d=0 soit a rB si d = 1 et de 
calculer t p (dJ-d + 1 ) mod N pour trouver ie titre T. Ce 
dernier peut alors n'etre transmis que partiellement, 
par exemple sous forme d'une centaine de ses bits 
ou encore mieux apres une compression par une 

60 fonction a sens unique. 

On rappelle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un 
ensemble de m autres elements, m etant inferieur a 
n et tel qu'il sont pratiquement impossible de 

65 localiser deux elements ayant meme image. 
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La figure 1 annexee a la description illustre ce 
procede. Les fleches ailant de gauche a droite 
representent une transmission du verifie vers le 
verificateur (identite I, titre T, temoin t) et les fleches 
allant de droite a gauche une transmission dans le 
sens inverse (bit d tire au hasard). Un tirage au 
hasard est represents par un cercle associe a un 
point d'interrogation. Le signe £ signifie "appartient 
a" et les nombres entre accolades designent 
I'ensemble des entiers compris entre les deux 
bornes indiquees, bornes comprises. La comparai- 
son finale decidant de Pauthenticite de Paccredita- 
tion est schematisee par un signe egal surmonte 
d'un point d'interrogation. Le tirete marque un 
ensemble d'operations effectuees k fois (iteration). 

II a ete propose recemment un procede encore 
plus perfectionne, qui utilise des accreditations 
multiples. Ce procede a ete decrit dans la communi- 
cation de Amos FIAT et Adi SHAMIR, publiee dans le 
Compte Rendu de CRYPTO* 86, Santa Barbara. CA. 
USA, August 1986, communication intituiee : "How 
to Prove Yourself : Practical Solutions to Identifica- 
tion and Signature Problems" , Springer Verlag, 
lecture Notes in Computer Science, N°263, 
pp.1 86-1 94. 

En notant dans la carte plusieurs accreditations, 
on augmente i'efficacite du traitement, et on reduit le 
nombre d'iterations necessaires pour atteindre un 
niveau donne de securite vis-a-vis de la chance 
laissee au bluffeur. Dans cette methode de diversifi- 
cation, on produit n identites diversifies 11, In qui, 
completees par leurs ombres, donnent n identites 
diversifies ombragees J1, Jn. La carte contient 
les n accreditations inverses B1, .... Bn qui verifient 
les relations JLBi p mod N«=1. 

Dans ce procede, que Ton notera FS, chaque 
traitement ou iteration devient alors le suivant (en 
prenant 2 pour exposant public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 
128 bits du carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, bn, qu'il transmet a la carte ; 

- la carte calcule alors le produit de I'element r par 
les accreditations inverses designees par les bits a 
"1 n dans le mots de n bits b1, bn. Et la carte 
transmet en guise de temoin la valeur t ainsi 
obtenue : 

t = r.(b1.B1-bt+1) (bn.Bn-bn + 1) mod N 

- le verificateur teste ce temoin t en relevant au 
carre dans I'anneau, puis en multipliant ce carre par 
les identites ombragees diversifies designees par 
les bits a "1" du mot de n bits, 

soit : tMb1.J1-b1 + 1) (bn.Jn-bn + 1) mod N 

L'authenticite est prouvee si Ton retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et 
multiplier par une selection d'identites diversifiees 
pour constituer apres coup un titre T. En effet, en 
donnant ce titre au debut du traitement, si la 
question posee est bien la selection escomptee, 
alors le temoin t est une reponse acceptable qui 
authentifie la carte. 

It y a done bien une stategie gagnante pour le 



devin qui connaTt a I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus 
un seul bit comrhe dans le procede GMR. Si les 2 n 
5 valeurs sont equiprobables, le produit de la multipli- 
city des accreditations (n) par le nombre des 
iterations (k) reduit exponentiellement les chances 
laissees au bluffeur. Le facteur de securite de la 
transaction d'authentification est alors 2 kn . 

10 A chaque iteration, le verifie transmet par exemple 
128 bits (par exemple un quart des 512 bits) et un 
element de I'anneau, et le verificateur transmet n 
bits. A chaque iteration, le verificateur et la carte 
calculent un carre et font un nombre de multiplica- 

15 tions egal au nombre de bits a "1" dans le mot de n 
bits (poids de HAMMING). 

Comme autre compromis entre efficacite de 
I' iteration et nombre maximum de multiplications a 
effectuer durant iteration on peut limiter le nombre 

20 de bits a 1 dans le mot de n bits. 

On pourra consulter a propos de cette technique, 
le compte rendu de la communication de Amos FIAT 
et Adi SHAMIR au "5e Congres Mondial de la 
Protection et de la Securite Informatique et des 

25 Communications" qui s'est tenu a Paris les 4-6 Mars 
1987 sous le titre "Unforgeable Proofs of Identity". 

La figure 2 annexee illustre schematiquement ce 
procede FS, avec les memes conventions que pour 
la figure 1 . 

30 Ces procedes d'authentification d'accreditation 
peuvent se transposer aisement a Pauthentification 
d'un message emis par une entite censee etre 
accreditee. Dans ce cas, le titre T transmis par le 
verifie n'est plus forme uniquement par r p mod N, 

35 comme dans le cas precedent, mais aussi par le 
message m a authentifier. Plus precisement, le 
resultat par une fonction de compression, notee f, 
dont les arguments sont m et r p mod N. 

Les figures 3 et 4 schematised ces procedes 

40 dans le cas des techniques S et FS. 

enfin, ces techniques peuvent egalement servir a 
signer un message La fonction de compression 
joue alors le role assigne au tirage du verificateur. 
Plus precisement, dans le procede de type S, le 

45 signataire tire k elements r dans I'anneau des entiers 
modulo N, soit R1, R2, rk, qui vont jouer le role 
des differents r tires au cours des k iterations. Le 
signataire eleve ces entiers au carre mod N et 
calcule la fonction de compression f(m, r 2 mod N, ... 

50 rk 2 mod N) ce qui fournit un nombre D ayant pour 
bits d1 , d2, dk. Chaque bit di de ce nombre joue le 
role que jouait le bit tire au hasard dans le procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti = riB di mod N, avec 

55 i= 1,2...k. Le message signe est alors constitue par 
un multiplet forme par m, I, d1 , dk, t1 , .... tk. 

Pour verifier un tel message signe on eleve au 
carre les titres ti modulo N et on multiplie chaque 
carre par J* modulo N. On calcule ensuite la fonction 

60 de compression f (m, T1 2 J dl mod N, tk 2 J dk mod N) 
et Ton compare le resultat obtenu avec le nombre D, 
soit avec les bits d1, d2, .... dk. 

Dans I'application a la signature de messages, le 
nombre k est plus grand que dans I'authentification. 

65 N est de I'ordre de 60 a 80. En effet, la verification ne 
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s'effectue plus en temps reel et le fraudeur a done 
tout son temps pour elaborer une fausse signature. 

Les figures 5 et 6 schematised ce procede dans 
Ie cas des techniques S et FS. Si toutes ces 
techniques de Tart anterieur conviennent bien en 
theorie, elies presentent cependant des inconve- 
nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accredita- 
tions, consomme un espace memoire important. Par 
ailleurs, ia necessite d'effectuer une repetition des 
traitements allonge la duree des echanges. Enfin, la 
multiplicity des temoins allonge les informations a 
ajouter a un message pour le signer. 

La presente invention a justement pour but de 
remedier a cet inconvenient. A cette fin elle 
preconise une technique utilisant une seule accredi- 
tation (et non plus des accreditations multiples) et 
un seul traitement (et non plus une repetition de 
traitements). 

De facon plus precise, la presente invention a 
d'abord pour objets une procede d'authentification 
d'une accreditation et un procede d'authentification 
d'un message, precedes qui mettent tous deux en 
oeuvre, d'une part, I'elaboration d'une accreditation 
basee sur le systeme a cle publique et, d'autre part, 
une preuve a apport nul de connaissance ; 

a) pour ce qui est de I'operation d'elaboration 
de I'accreditation, elle cornprend les operations 
connues suivantes : 

- une autorite habttitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 
ces nombres qui constituent alors les facteurs 
premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 
J appele identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de I' identite ombra- 
gee dans Tanneau des entiers modulo N, (A p 
modN = J), 

- dans un support approprie contenant une 
memoire, I'autorite charge I'inverse modulo N 
de I'accreditation A, soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant ('accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentification de 
I'accreditation ainsi elaboree, cette operation 
consiste, de maniere elle aussi connue, en un 
processus numerique interactif et probabiliste 
du type a apport nul de connaissance et 
s'etablissant entre un support contenant une 
accreditation, support appele "le verifie" et un 
organe d'authentification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par ies opera- 
tions connues suivantes : 

- le verifie tire d'abord du hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a ia puissance p 
modulo N, le resuitat etant appele titre T, 

- Ie verifie delivre alors au moins une partie des 



bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre D et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 

5 inverse B, ces operations etant liees au nombre 

D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resuitat de ces operations, 

10 - le verificateur effectue a son tour des 

operations portant sur le temoin t delivre par ie 
verifie et sur I'identite ombragee J du verifie, 
operations liees elies aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 

15 I'anneau des entiers modulo N, 

- le verificateur compare le resuitat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de {'accreditation s'il retrouve ces 

20 bits. 

Le procede d'authentification d'accreditation se- 
lon I'invention est caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation (B) 
le nombre p servant a extraire la racine p ieme 

25 de Tidentite ombragee (J) est choisi grand et 

cornprend au moins une dizaine de bits, 

b) pour I'authentification de I'accreditation le 
processus ne cornprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

30 d'un tel traitement), ce traitement unique 

consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

35 - I'operation que le verifie effectue pour delivrer 

un temoin t est le produit, dans I'anneau des 
entiers modulo N, de Telement r qu'il a lui meme 
tire au hasard, par la puissance Dieme de 
I'accreditation inverse B, le titre etant alors 

40 t = r.B D modN, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t par la 
puissance D ieme de Tidentite ombragee J, soit 

45 tPJ D modN, 

- I'operation de cornparaison effectuee par le 
verificateur porte alors sur les bits du titre T 
delivres par le verifie et sur les brts obtenus par 
I'operation precedente, I'authenticite de I'ac- 

50 creditation etant acquise en un seul traitement 

des lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur dans t p 
J D modN. 

Pour ce qui est du procede d'authentification de 
55 message, ie procede selon I'invention est caracte- 
rise par le fait que : 

a) lors de I'elaboration de I'accreditation du 
donneur d'ordre, le nombre p servant a extraire 
la racine p ieme de Tidentite ombragee est 

60 choisi grand et cornprend au moins une dizaine 

de bits, 

b) pour I'authentification du message, le 
processus ne cornprend qu'un seul traitement 
interactif et probabiliste (et non une repetition 

65 d'un tel traitement), ce traitement unique 



3DOCID: <EP 031 1 470A1_I_> 



11 



EP 0 311 470 A1 



12 



consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- I'operation que le verifie effectue pour delivrer 
le temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'il a lui meme 
tire, par la puissance Dieme de ('accreditation 
inverse B, le temoin etant alors r.B° mod N, 

- les operations qu'effectue le verificateur sont 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t, par la 
puissance D ieme de I'identite ombragee J, 

- le verificateur forme la fonction de compres- 
sion du message et du resultat des operations 
precedentes soit f(m, t p J D mod N), 

- la comparaison que ie verificateur effectue 
porte alors sur la fonction de compression qu'il 
a obtenue et sur le titre T que ie verifie lui a 
delivre en debut de processus de verification, 
Pauthenticite du message etant acquise en un 
seu! traitement des lors que, a la fin de ce 
traitement, il y a correspondace entre tous les 
bits de la fonction de compression obtenue par 
le verificateur et les bits du titre delivres par le 
verifie. 

L'invention a enfin pour objet un procede de 
signature de message. Dans ce cas ('accreditation 
du signataire est elaboree selon le procede connu a 
cle publique decrit plus haut et la signature consiste 
en un traitement numerique probabiliste connu 
comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a 
signer et la puissance r D mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur Paccredi- 
tation inverse B, ces operations etant liees au 
nombre D tire au hasard et etant effectuees dans 
I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, Pensemble constituant 
un message signe. 

Le procede de signature de message selon 
l'invention est caracterise par le fait que : 

a) lors de Pelab oration de Paccreditation du 
signataire le nombre p servant a extraire la 
racine p ieme de I'identite ombragee est choisi 
grand et comprend plusieurs dizaines de bits, 

b) pour I'operation de signature du mes- 
sage : 

- le signataire ne tire au hasard qu'un seul entier 
r appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments 
le message m et la puissance p ieme de r, ce qui 
fournit un nombre D, 

- le titre unique produit par le signataire est ie 
produit, dans I'anneau des entiers modulo N, de 
rentier r par la puissance D ieme de Paccredita- 
tion inverse B, 

- le signataire fournit, avec le message m, son 



identite I, le mot D et le titre t. 
Dans les deux premiers procedes, le nombre p 
comprend au moins 10 bits et de preference entre 16 
et 24 bits. 

5 Dans le procede de signature le nombre p est plus 

grand et comprend plusieurs dizaines de bits, par 

exemple de 60 a 80 bits. 

La valeur de p est en effet le facteur de securite 

d'un traitement elementaire. Si p est convenable 
10 pour le but recherche alors qu'on ne dispose que 

d'une seule accreditation profonde, on peut se 

contenter d'un seul traitement. 

La presente invention a egalement pour objet des 

systemes qui mettent en oeuvre ces procedes. 
15 De toute facon l'invention sera mieux comprise a 

la lumiere de la description qui va suivre, qui se 

refere a des dessins annexes. Ces dessins com- 

prennent : 

- les figures 1 a 6, deja decrites, qui illustrent 
20 les procedes S et FS de Tart anterieur ; 

- la figure 7 illustre le procede d'authentifica- 
tion d'une accreditation selon l'invention ; 

- la figure 8 illustre le procede d'authentifica- 
tion de message selon l'invention ; 

25 - la figure 9 illustre le procede de signature de 

message selon Pinvention ; 

- la figure 10 montre schematiquement un 
ensemble permettant de mettre en oeuvre les 
procedes de l'invention. 

30 Les conventions utilisees dans les figures 7 a 9 
sont les memes que celles des figures 1 a 6. Dans 
tous les cas Paccreditation est obtenue par Putilisa- 
tion d'un nombre p qui est grand. Les inventeurs 
qualifient cette accreditation de "profonde" par 

35 opposition aux accreditations habituelles utilisees 
dans ce domaine pour iesquelles p etait de Pordre 
de 2 ou 3 et qui sont, en quelque sorte "superfi- 
cielles". 

Dans le cas des cartes a puce on a done, dans le 
40 cas de l'invention, ie traitement suivant : 

- la carte tire au hasard un element r (1 ^ r^N-1) 
dans I'anneau des entiers modulo N, et donne en 
guise de titre T 128 bits de la puissance publique de 
cet element (r p mod N) ; 

45 - le verificateur tire au hasard un exposant DdeOa 
p-1 et le transmet a la carte ; 

- la carte calcule le temoin t qui est le produit (dans 
I'anneau) de I'element r par la puissance D ieme de 
Paccreditation B (t-r.B D mod N) ; 

50 - le verificateur calcule dans I'anneau le produit de la 
puissance p ieme du temoin t par la puissance D 
ieme de I'identite ombragee J, soit t p .J D mod N. 

La preuve est aceptee si tous les bits publies du 
titre T sont ainsi retrouves. 

55 N'importe qui ayant devine la question du verifica- 
teur (lexposant D) peut tirer au hasard un temoin t, 
puis faire a Pavance les calculs du verificateur, 
e'est-a-dire faire le produit dans Panneau du temoin t 
a Pexposant p par I'identite ombragee J a Pexposant 

60 D. En donnant le titre T au debut de I'iteration, si la 
question posee est bien D, alors le temoin t est une 
reponse acceptable. 

Ce raisonnement indiquant une strategie ga- 
gnante pour le devin montre que Pon ne sait pas 

65 distinguer des donnees provenant de Penregistre- 
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ment d'une transaction reussie et des donnees 
provenant d'une mascarade const ruite en inversant 
la chronologie de I'iteration, c'est-a-dire en choisis- 
sant les exposants avant les titres. Le verificateur 
recueilie des informations impossibles a distinguer 
de celles qu'il aurait pu produire tout seul, sans 
interaction avec le verifie, ce qui montre que 
Faccreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement d'authen- 
tification t le bluffeur doit deviner un exposant D. Si 
les p valeurs de D sont equiprobables, la chance 
laissee au bluffeur est de 1/p. Le facteur de securite 
est done p. 

Dans un tel traitement le verifie transmet une 
centaine de bits en un element de I'anneau ; ie 
verificateur transmet un exposant (D). Pour mener a 
bien un traitement le verifie calcuie d'abord la 
puissance publique de I'element r tire au hasard, 
puis le produit de cet element r par la puissance D 
ieme de faccreditation B. Le verificateur fait un peu 
moins de calcul pour retrouver le titre T car il peut 
combiner intelligemment les calculs de puissance : 
la puissance Dieme de I'identite ombragee J et la 
puissance pieme du temoin t. 

Si I'exposant p vaut 2 16 , alors i'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec 
un facteur de securite de 2 16 , soit 65536, le verifie 
calcuie dans I'anneau 16 carres, puis 16 carres et 
une moyenne de 8 multiplications. Le verificateur ne 
calcuie que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentification de message est 
iliustre sur la figure 8 avec les memes conventions, la 
difference avec la figure 7 consistant uniquement 
dans la formation de la fonction de compression f. 

Pour signer un message, le detenteur de I'accre- 
ditation B de profondeur p commence par tirer au 
hasard un element r dans I'anneau puis calcuie la 
puissance publique de I'element r(r? mod N). Puis il 
produit un exposant D grace a la fonction de 
compression f appliquee a la concatenation du 
message m et de la puissance publique de I'element 
r. Le temoin t est le produit de I'element r par la 
puissance Dieme de I'accreditation B. Le message 
signe est la concatenation de I'identite I, du 
message m, de I'exposant d et du temoin t. 

Pour verifier une signature, le verificateur calcuie 
dans I'anneau le produit du temoin t a la puissance p 
par I'identite ombragee J (reconstruite a partir de 
I'identite proclamee I) a la puissance D pour 
reconstituer ce qui doit etre la puissance publique 
de I'element r. Enfin, le verificateur doit retrouver 
I'exposant D en appliqant ia fonction f a la concate- 
nation du message m et de la puissance publique 
reconstitute. 

C'est ce qui est iliustre sur la figure 9. 

Si p s'ecrit sur 64 bits queiconques, le signataire 
fait environ 192 multiplications dans I'anneau (il doit 
calculer successivement deux puissances avec des 
exposants de 64 bits sans pouvoir les combiner) 
pour mener a bien I'operation. Cette complexite est 
deja nettement inferieure a celle du procede RSA : 
768 multiplications en moyenne pour une exponen- 
tielle modulo un nombre compose sur 512 bits, et 
1536 pour un nombre compose sur 1024 bits. 
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Si p s'ecrit sur 64 bits queiconques, le verificateur 
fait seulement environ 112 multiplications, car il 
combine ses operations en 64 carres et trois fois 16 
multiplications en moyenne, pour calculer d'un seul 
5 coup fP.J D mod N. II est heureux que I'authentifica- 
tion soit plus simple que I'eiaboration de la signa- 
ture, car chaque signature est appelee a etre verifiee 
plusieurs fois. 
Mais, on peut choisir 2 64 (c'est-a-dire une puis- 

10 sance de 2) comme exposant p pour simplifier les 
calculs, sans modifier la securite du systeme. 
L'elevation a la puissance p se fait alors par 64 
carres. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La 

15 verification d'une signature se traduit en moyenne 
par 96 multiplications dans I'anneau, soit 12,5<>/o du 
RSA a 512 bits et 6,2% du RSA a 1024 bits. 

Dans le procede anterieur FS decrit plus haut. 
avec 64 accreditations multiples dans le meme carte, 

20 il faut un carre et une moyenne de 32 multiplications. 
Ainsi, la methode de invention a accreditation 
profonde, se paye par un surplus de calculs d'un 
facteur multiplicatif de I'ordre de 3. Quand, dans I'art 
anterieur, on se limite a 8 accreditations dans la 

25 carte, avec 8 temoins dans la signature, (8 iterations 
a 5 multiplications, soit 40 multiplications), le rapport 
diminue encore un peu, en faveur de Pinvention. 

Bien entendu, on peut aussi choisir 2 66 -M 
comme exposant public (c'est-a-dire un nombre 

30 impair). Au prix d'une seule multiplication suppie- 
mentaire pour calculer une puissance publique, on 
leve ainsi certaines restrictions relatives aux residus 
quadratiques dans I'anneau (lorsque I'exposant p 
est pair, plusieurs elements de I'anneau pouvant 

35 correspondre a la racine pieme, mais un seul 
convenant). 

La figure 10 represente schematiquement un 
calculateur permettant de mettre en oeuvre I'inven- 
tion. 

40 Le calculateur represente comprend une interface 
entrees-sorties ES, une unite centrale UC, une 
memoire programmable du type a lecture seulement 
(PROM), une memoire a lecture seulement (ROM) et 
une memoire a acces direct (RAM). Le calculateur 

45 comprend encore un organe G du type generateur 
de bruit ou generateur aleatoire. 

L'accreditation et les informations d'identite ins- 
crites dans la memoire PROM inaccessibles de 
Pexterieur. Les programmes sont inscrits dans ia 

50 memoire ROM. La memoire RAM sert a stocker des 
resultats de calcul. Le generateur G est utilise pour 
les tirages au sort des divers nombres intervenant 
dans le procede (r, D). 
L'unite centrale et les memoires peuvent etre 

55 structurees comme le microcalculateur autopro- 
gramrnable monolithique decrit dans le brevet 
4,382,279 des Etats-Unis d'Amerique. 

La fonction de compression peut faire appel a 
I'algorithme DES (Data Encryption Standard). H 

60 existe une carte a puce, fabriquee par PHILIPS qui 
realise cet algorithme DES. 
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Revendications 

5 

1. Procede d' authentication d'une accredi- 
tation a apport nul de connaissance, 

a) cette accreditation ayant ete elaboree par un 
procede du type a cle publique comprenant les 10 
operations suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres, choisit un entier p et publie N et 15 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constitute, puis 
completee par redondance pour former un mot 

J appele identite ombragee, 20 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de I'identite ombra- 
gee dans I'anneau des entiers modulo N 
(A = J 1/ PmodN), 

- dans un support approprie contenant une 25 
memoire, I'autorite charge I'inverse modulo N 

de I'accreditation A soit un nombre B appele 
accreditation inverse (B n J mod N = 1), ce 
nombre B constituant ['accreditation qu'il s'agit 
d'authentifier, 30 

b) I'authentification de I'accreditation ainsi 
elaboree, consistant en un processus numeri- 
que interactif et probabiliste du type a apport 
nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support 35 
appele "le verifie" et un organe d'authentifica- 

tion appele "le verificateur", ce processus 
comprenant au moins un traitement numerique 
constitue par les operations connues sui- 
vantes : 40 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 45 
bits du titre T, 

-ie verificateur tire ensuite au hasard un 
nombre (d) et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 
inverse B, ces operations etant liees au nombre 50 
(d) tire au hasard par le verificateur et effec- 
tuees dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 55 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 60 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de I'accreditation s'il retrouve ces 

bits, 65 



ce procede etant caracterise par le fait que : 

a) lors de Pelaboration de I'accreditation 
(B) le nombre p servant a extraire la racine 
p ieme de I'identite ombragee (J) est choisi 
grand et comprend au moins une dizaine 
de bits, 

b) pour I'authentification de I'accredita- 
tion le processus ne comprend qu'un seul 
traitement interactif et probabiliste (et non 
une repetition d'un tel traitement), ce 
traitement unique consistant dans les 
operations suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

- I'operation que ie verifie effectue pour 
delivrer un temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qu'il a lui meme tire au hasard, par la 
puissance Dieme de I'accreditation inverse 
B, le titre etant alors t = r.B D mod N, 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t par la puissance D ieme de 
I'identite ombragee J, soitt p J D mod N, 

- Toperation de comparaison effectuee 
par le verificateur porte alors sur les bits du 
titre T delivres par le verifie et sur les bits 
obtenus par Toperation precedente, I'au- 
thenticite de I'accreditation etant acquise 
en un seul traitement des lors que tous les 
bits du titre delivre par le verifie sont 
retrouves par le verificateur dans t p J D mod 
N. 

2. Procede d 'authentication d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite : 

a) ['accreditation d'un donneur d'ordre consis- 
tant en un mot numerique B obtenu par un 
procede a cle publique comprenant les opera- 
tions suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombre premiers, forme le 
produit N de ces deux nombres, tient secrets 
ces deux nombres, choisit un entier p et publie 
Net p, 

- pour chaque donneur d'ordre une identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de I'identite 
ombragee J dans I'anneau des entiers modulo 
N,(A - J^modN), 

- dans un support approprie detenu par le 
donneur d'ordre Tautorite charge I'inverse mo- 
dulo N de I'accreditation A, soit un nombre B 
appele accreditation inverse (B p J mod N = 1), 

b) I'authentification d'un message (m) emis par 
un donneur d'ordre ainsi accredite consistant 
en un processus numerique interactif et proba- 
biliste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 
d'ordre cense accredite et appele "le verifie" et 
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un organe de verification appele le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par les opera- 
tions suivantes : 

- le verifie tire d'abord au hasard un entier r 5 
appartenant a I'anneau des entiers rnoduio N, 

- le verifie eleve cet entier r a la puissance p 
rnoduio N et calcule un resultat par une fonction 
de compression en prenant comme argument 

ie message m et mod N, soit f(m, r* mod N), le 10 
resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 
bits de titre T, 

- le verificateur tire ensuite au hasard un 
nombre d et demande au verifie d'effectuer 15 
certains operations sur r et sur I'accreditation 
inverse B, ces operations etant liees au nombre 

d tire au hasard par le verificateur et etant 
effectuees dans I'anneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 20 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des 
operations portant sur le temoin t delivre par le 
verifie et sur i'identite ombragee J du verifie, 
operations liees elles aussi au nombre D tire au 25 
hasard par le verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- le verificateur forme une fonction de compres- 
sion en prenant comme arguments le message 

a authentifier m et le resultat des operations 30 
precedentes, soitf(m, t, J), 

- le verificateur compare la fonction de com- 
pression obtenue avec ie titre T que le verifie a 
delivre en debut de processus de verification, 

ce processus etant caracterise par le fait que : 35 

a) lors de I'elaboration de I' accreditation 
du donneur d'ordre, le nombre p servant a 
extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend au 
moins une dizaine de bits, 40 

b) pour ['authentication du message, le 
processus ne comprend qu'un seul traite- 
ment interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traite- 
ment unique consistant dans les opera- 45 
tions suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornes incluses), 

-I'operation que le verifie effectue pour 50 
delivrer le temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qui! a lui meme tire, par la 
puissance Dieme de I'accreditation inverse 
B, le temoin etant alors r.B D mod N, 55 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, GO 

- le verificateur forme la fonction de 
compression du message et du resultat 
des operations precedentes soit f (m, t p J D 
mod N), 

- la comparaison que le verificateur effec- 65 



tue porte alors sur la fonction de compres- 
sion qu'il a obtenue et sur le titre T que le 
verifie lui a delivre en debut de processus 
de verification, Tauthenticite du message 
etant acquise en un seul traitement des 
lors que, a la fin de ce traitement, il y a 
correspondance entre tous les bits de la 
fonction de compression obtenue par le 
verificateur et les bits du titre delivres par 
le verifie. 

3. Procede de signature d'un message par 
une entite, cette entite etant censee etre 
accreditee, 

a) I'accreditation d'une entite signataire de 
messages ayant ete elaboree par un procede a 
cle publique comprenant les operations sui- 
vantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit N de ces deux nombres, tient secrets 
les deux nombres premiers, choisit un entier p 
et publie N et p, 

- pour chaque entite signataire une identite 
numerique I est constitute puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de Tidentite 
ombragee J dans I'anneau des entiers modulo 
N(A = J 1/ Pmod N), 

-dans un support approprie detenu par te 
signataire I'autorite charge I'inverse modulo N 
de I'accreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1), 
b) la signature d'un message m par un 
signataire d'identite I consistant en un traite- 
ment numerique probabiliste comprenant les 
operations suivantes : 

- le signataire tire au hasard au moins un entier r 
appartenant a I'anneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N, 

- ie signataire calcule une fonction de compres- 
sion f en prenant comme arguments le mes- 
sage m a signer et la puissance r p obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur 
I'accreditation inverse B, ces operations etant 
liees au nombre d tire au hasard et etant 
effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son 
identite I, le mot d, ie ou les temoins t, 
fensemble constituant un message signe, 

ce procede etant caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation 
du signataire le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 
choisi grand et comprend plusieurs di- 
zaines de bits, 

b) pour I'operation de signature du 
message : 

- le signataire ne tire au hasard qu'un seul 
entier r appartenant a I'anneau des entiers 
modulo N, 

- la fonction de compression a pour 
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arguments le message m et le puissance p 
ieme de r, ce qui fournit un nombre D, 

- le temoin unique produit par le signataire 
est le produit, dans I'anneau des entiers 
modulo N. de rentier r par la puissance D 5 
ieme de Pace red itation inverse B, 

- le signataire fournit, avec le message m, 
son identite l, le mot D et le temoin t. 

4. Systeme d'authentification d'une accredi- 
tation a apport nul de connaissance compre- 10 
nant, 

a) des moyens pour elaborer cette accredita- 
tion par un procede du type a cle publique, ces 
moyens compre nant : 

- chez une autorite habilitee a delivrer des 15 
accreditations des moyens pour choisir deux 
nombres premiers, pour former le produit (N) 

de ces deux nombres, pour tenir secrets ces 
nombres, pour choisir un entier p et pour 
publier Net p ; 20 

- des moyens pour constituer, pour chaque 
detenteur d'une accreditation, une identite 
numerique I et pour completer cette identite par 
redondance pour former un mot J appele 
identite ombragee, 25 

- des moyens pour elaborer une accreditation 
A, ces moyens etant aptes a prendre la racine 
pieme de I'identite ombragee dans I'anneau des 
entiers modulo N (A = J 1/p mod N), 

- un support approprie contenant une memoire, 30 
ou est charge I'inverse modulo N de I'accredita- 

tion A soit un nombre B appele accreditation 
inverse (B n J mod N = 1), ce nombre B consti- 
tuant I'accreditation qu'il s'agit d'authentifier, 

b) des moyens d'authentification de I'accredita- 35 
tion comprenant des moyens pour mettre en 
oeuvre un processus numerique interactif et 
probabiliste du type a apport nul de connais- 
sance et s'etablissant entre un support conte- 
nant une accreditation, support appele "le 40 
verifie" et un organe d'authentification appele 

"!e verificateur*, ces moyens comprenant : 

- un moyen dans le verifie pour tirer d'abord au 
hasard un entier r appartenant a I'anneau des 
entiers modulo N, 45 

- un moyen dans le verifie pour elever cet entier 
r a la puissance p modulo N, le resuitat etant 
appele frtre T, 

- des moyens dans le verifie pour delivrer alors 

au moins une partie des bits du titre T. 50 

- des moyens dans le verificateur pour tirer 
ensuite au hasard un nombre (d) et demander 
au verifie d'effectuer certain es operations sur r 
et sur ['accreditation inverse B, ces operations 
etant liees au nombre (d) tire au hasard par les 55 
moyens du verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- des moyens dans le verifie pour delivrer au 
verificateur un nombre t, appele temoin, resuitat 

de ces operations, BO 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur le temoin 
t delivre par le verifie et sur Tidentite ombragee 
J du verifie, operations liees elles aussi au 
nombre d tire au hasard par le verificateur et 65 
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effectuees dans I'anneau des entiers modulo N, 
- des moyens dans le verificateur pour compa- 
rer le resuitat ainsi obtenu avec les bits du titre 
T que les moyens du verifie ont delivre en debut 
de processus de verification, et admettre 
Tauthenticite de I'accreditation s'il retrouve ces 
bits, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens pour elaborer I'ac- 
creditation (B) les moyens pour choisir le 
nombre p servant a extraire la racine p 
ieme de I'identite ombragee (J) sont aptes 
a choisir un nombre grand comprenant au 
moins une dizaine de bits, 

b) dans les moyens pour I'authentifica- 
tion de I'accreditation, les moyens sont 
aptes a n'effectuer qu'un seul traitement 
interactif et probabiliste (et non une repeti- 
tion d'un tel traitement), ces moyens 
consistant alors en : 

- des moyens pour que le nombre que le 
verificateur tire au hasard soit un entier D 
compris entre 0 et p-1 (bornes incluses), 

- des moyens dans le verifie pour delivrer 
un temoin t sont aptes a former le produit, 
dans I'anneau des entiers modulo N, de 
I'element r tire au hasard, par la puissance 
Dieme de I'accreditation inverse B, le titre 
etant alors t = r.B D mod N, 

- des moyens dans le verificateur aptes a 
calculer le produit, dans I'anneau des 
entiers modulo N, de la puissance p ieme 
du temoin t par la puissance D ieme de 
I'identite ombragee J, soit t p J D mod N, 

- des moyens de comparaison dans le 
verificateur aptes a comparer les bits du 
titre T delivres par les moyens du verifie et 
sur les bits obtenus par I'operation prece- 
dente, I'authenticite de I'accreditation 
etant acquise en un seul traitement des 
lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur 
danst p J D modN. 

5. systeme d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite, ce systeme comprenant : 
a) des moyens disposes chez un donneur 
d'ordre pour former un mot numerique B 
obtenu par un procede a cle publique et 
comprenant les moyens suivants : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombre premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets ces deux 
nombres, pour choisir un entier p et pour 
publier N et p, 

- des moyens pour constituer, pour chaque 
donneur d'ordre, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identity ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite et pour prendre la racine p ieme de 
I'identite ombragee J dans I'anneau des entiers 
modulo N, (A = J 1/p mod N), 

- un support approprie detenu par le donneur 
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cfordre, Pautorite chargeant dans ce support 
Tinverse modulo N de P accreditation A, soit un 
nombre B appele accreditation inverse (B p J 
modN = 1), 

b) des moyens d'authentification d'un message 5 
(m) emis par un donneur d'ordre ainsi accre- 
dits comprenant des moyens de mise en oeuvre 
d un processus numerique interactif et probabi- 
liste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 10 
d'ordre cense accredite et appele "le veriffe" et 
un organe de verification appele "le verifica- 
teur", ces moyens comprenant : 

- des moyens dans le verifie pour tirer d'abord 

au hasard un entier r appartenant a I'anneau des 15 
entiers modulo N, 

- des moyens dans le verifie pour elever cet 
entier r a la puissance p modulo N et calculer un 
resultat par une fonction de compression en 
prenant comme argument le message metr 15 20 
mod N, soit f(m, i* mod N), le resultat etant 
appele titre T, 

- des moyens dans le verifie pour delivrer aJors 
au moins une partie des bits du titre T, 

- des moyens dans le verificateur pour tirer 25 
ensuite au hasard un nombre d et demande aux 
moyens du verifie d'effectuer certaines opera- 
tions sur r et sur Paccreditation inverse B, ces 
operations etant liees au nombre d tire au 
hasard par le verificateur et etant effectuees 30 
dans Panneau des entiers modulo N, 

- des moyens dans le verifie pour fournir au 
verificateur un nombre t, appele temoin, resultat 
de ces operations, 

- des moyens dans le verificateur pour effectuer 35 
a son tour des operations portant sur le temoin 

t delivre par les moyens du verifie et sur 
Pidentite ombragee J du verifie, operations liees 
elles aussi au nombre D tire au hasard par le 
verificateur et effectuees dans Panneau des 40 
entiers modulo N, 

- des moyens dans le verificateur pour former 
une fonction de compression en prenant 
comme arguments le message a authentifier m 

et le resultat des operations precedentes, soit 45 
f(m,t,J), 

- des moyens dans le verificateur pour compa- 
rer la fonction de compression obtenue avec le 
titre T que le verifie a delivre en debut de 
processus de verification, 50 
ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
Paccreditation du donneur d'ordre, le nom- 
bre p servant a extraire la racine p ieme de 
I'identite ombragee est choisi grand et 55 
comprend au moins une dizaine de bits, 

b) dans les moyens d'authentifi cation du 
message, les moyens sont aptes a mettre 
en oeuvre un processus qui ne comprend 
qu'un seul traitement interactif et probabi- 60 
liste (et non une repetition d'un tel traite- 
ment), ces moyens comprenant : 

- des moyens dans le verificateur pour tirer 
au hasard un entier D compris entre 0 et 
p-1 (bornesincluses), ss 
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- des moyens dans le verifie pour delivrer le 
temoin t qui soit le produit, dans I'anneau 
des entiers modulo N, de Pelement r qu'il a 
lui meme tire, par la puissance Dieme de 
Paccreditation inverse B, le temoin etant 
alorsr.B 0 modN, 

- des moyens dans verificateur pour effec- 
tuer le produit, dans Panneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
Pidentite ombragee J, 

- des moyens dans le verificateur pour 
former la fonction de compression du 
message et du resultat des operations 
precedentes soit f (m, t p J D mod N), 

- les moyens de comparaison dans le 
verificateur portant alors sur la fonction de 
compression que les moyens du verifica- 
teur ont obtenue et sur le titre T que les 
moyens du verifie lui ont delivre en debut 
de processus de verification, Pauthenticite 
du message etant acquise en un seul 
traitement des lors que, a la fin de ce 
traitement, il y a correspondance entre 
tous les bits de la fonction de compression 
obtenue par le verificateur et les bits du 
titre delivres par le verifie. 

6. Systeme pour signer un message par une 
entite, cette entite etant censee etre accredi- 
tee, ce systeme comprenant, 

a) des moyens pour elaborer une accreditation 
d'une entite signataire de messages, ces 
moyens mettant en oeuvre un procede a cle 
publique et comprenant : 

- des moyens chez une autorite habiiitee a 
delivrer des accreditations pour choisir deux 
nombres premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets les deux 
nombres premiers, pour choisir un entier p et 
pour publier Net p, 

- des moyens pour constituer, pour chaque 
entite signataire, une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par Pautorite, ces moyens etant aptes a prendre 
la racine p ieme de Pidentite ombragee J dans 
Panneau des entiers modulo N (A = J 1/p mod 
N), 

- un support approprie detenu par la signataire 
ou Pautorite peut charger Pinverse modulo N de 
Paccreditation A, soit un nombre B appele 
accreditation inverse (B p J mod N = 1 ), 

b) des moyens pour constituer la signature d'un 
message m par un signataire d'identite I et 
comprenant : 

- des moyens chez le signataire pour tirer au 
hasard au moins un entier r appartenant a 
Panneau des entiers modulo N, 

- des moyens chez le signataire pour elever cet 
entier r a la puissance p modulo N, 

- des moyens chez le signataire pour calculer 
une fonction de compression f en prenant 
comme arguments le message m a signer et la 
puissance r p obtenue, 
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- des moyens chez le signataire pour former au 
moins un temoin t en effectuant certaines 
operations sur r et sur ['accreditation inverse B, 
ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des 
entiers modulo N, 

- des moyens chez le signataire pour transrnet- 
tre le message m, son identite I, le mot d, le ou 
les temoins t, Pensemble constituant un mes- 
sage signe, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
I'accreditation du signataire les moyens 
pour choisir le nombre p servant a extraire 
la racine p ieme de I'identite ombragee 
sont aptes a choisir un nombre grand 
comprenant plusieurs dizaines de bits, 

b) dans les moyens pour I'operation de 
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signature du message : 

- les moyens du signataire ne tirent au 
hasard qu'un seul entier r appartenant a 
I'anneau des entiers modulo N, 

- les moyens de compression operent avec 
des arguments qui sont le message m et la 
puissance p ieme de r, ce qui fournit un 
nombre D, 

- les moyens pour produire le temoin 
unique par le signataire sont aptes a 
former le produit, dans I'anneau des en- 
tiers modulo N, de rentier r par la puis- 
sance D ieme de Paccreditation inverse B, 

- ies moyens du signataire fournissent, 
avec le message m, sont identite I, le mot D 
et le temoin t. 
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